Ismét új fegyverrel bővülhet a kiberbűnözők arzenálja: jönnek a "fiók előzetes eltérítése" nevű támadások. Mivel életünk jelentős részét online éljük, a felhőben dolgozunk, webes felületen kommunikálunk bankunkkal, szolgáltatóinkkal, ott vásárolunk, ez a támadástípus egyre veszélyesebb lesz.
A szép hivatalos nevén account pre-hijackingnek hívott támadástípust a Microsoft Security Response Center két független kutatója, Avinash Sudhodanan és Andrew Paverd tárta a nagy nyilvánosság elé. A kutatásukat összefoglaló tanulmány elérhető PDF-ben az Arxiv.org-on.
Fiók létrehozása közben csapnak le
Míg korábban a kiberbűnözők már létező felhasználói fiókokat támadtak, az account pre-hijacking esetében a létrehozás pillanatában próbálják meg kompromittálni a felhasználó hozzáférését. Ez azonban közel sem egyszerű, és minden esetben csak több lépésben hajtható végre. A támadónak ugyanis meg kell jósolnia, hogy a megcélzott személy melyik online szolgáltatást fogja használni, és annak megfelelően kell előkészületeket tennie, írja összefoglalójában a SecurityWeek. A probléma érintheti a külső azonosítási szolgáltatásokkal biztosított identitásokat (FI – federated identity) és a nagy felhőszolgáltatók által alkalmazott single sign-on bejelentkezéseket is.
A két kutató több forgatókönyvet vázolt. Ha a hekker ismeri az áldozat e-mail-címét, azzal létrehozhat egy fiókot, majd ha az áldozat később FI azonosítási szolgáltatás segítségével regisztrál ugyanarra a weboldalra, el lehet téríteni a fiókot. Ha ugyanis az adott weboldal nem képes a két fiók összekapcsolására, mind a támadó, mind az áldozat hozzáfér ugyanahhoz a fiókhoz. Ez fordítva is igaz, tehát ha a támadó regisztrál FI szolgáltatással és az áldozat klasszikus regisztrációval (adja meg nevét, e-mail-címét stb.).
Nem kifejezett pre-hijacking, de a le nem járt munkamenet-azonosítókat is ki lehet használni a fiók eltérítésére. A támadó létrehoz egy fiókot az áldozat e-mail-címével, és fenntart egy hosszú ideig tartó aktív munkamenetet. Amikor a jogos felhasználó visszaállíthatja a jelszót, hogy hozzáférjen a fiókhoz, a támadó nem szakítja meg a munkamenetet. Ha a szolgáltatás sem érvényteleníti a jogosulatlan munkamenetét a jelszó visszaállítását követően, akkor a támadó látja a célpont minden tevékenységét.
Az account pre-hijacking általános folyamata (forrás: SecurityWeek)
A támadó létrehozhat egy fiókot az áldozat e-mail-címével, amihez hozzáadhat valamilyen "trójai" elemet, például egy másodlagos címet vagy telefonszámot, ahová jelszó-visszaállítási vagy egyszeri hitelesítési linkeket kérhet.
A vizsgált szolgáltatások közel fele sérülékeny
A kutatók 75 népszerű szolgáltatásnál megnézték azt is, hogy működnek-e a gyakorlatban az általuk kidogozott elméleti forgatókönyvek. Kiderült, hogy 35 szolgáltatás sebezhető, akár több támadási móddal is. Olyan online oldalak szerepelnek a potenciális célpontok között, mint a Dropbox, az Instragram, a Wordpress.com vagy a Zoom.
Az érintett szolgáltatókat már tavaly értesítették, de valószínűsíthetően bőven van még sebezhető szolgáltatás. Bár a módszerek felhasználhatók egyes felhasználók ellen is, a kutatók úgy vélik, hogy igazán szervezet elleni támadásra ideálisak. Ha például a támadók kiderítik, hogy egy szervezet tervezi egy online szolgáltatás bevezetését, már az előtt megkezdhetik az előkészületeket kiszivárgott mailcímek segítségével, mielőtt a tényleges bevezetés megkezdődne. És egy alkalmas e-mail-címért nem is kell messze menni, sokszor egy sima kereséssel kideríthető, hogyan képezik az adott szervezetnél az elektronikus levélcímeket.
Mint a SecurityWeeknek mondták, ennek a sérülékenységnek általában az az oka, hogy a szolgáltatások egy része nem ellenőrzi, hogy a felhasználó valóban birtokolja-e a megadott azonosítót (pl. e-mail-cím, telefonszám), mielőtt engedélyezné a fiók használatát. Más szolgáltatásoknál van ilyen ellenőrzés, ám annak megtörténte előtt már hozzá lehet férni a fiók egyes funkcióihoz. Ez javíthatja a használhatóságot, ám a tanulmány alapján igencsak növeli a sebezhetőséget.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak